JP4896054B2 - 個人情報管理装置,個人情報管理プログラムおよび個人情報管理システム - Google Patents
個人情報管理装置,個人情報管理プログラムおよび個人情報管理システム Download PDFInfo
- Publication number
- JP4896054B2 JP4896054B2 JP2008056518A JP2008056518A JP4896054B2 JP 4896054 B2 JP4896054 B2 JP 4896054B2 JP 2008056518 A JP2008056518 A JP 2008056518A JP 2008056518 A JP2008056518 A JP 2008056518A JP 4896054 B2 JP4896054 B2 JP 4896054B2
- Authority
- JP
- Japan
- Prior art keywords
- personal information
- key
- information management
- file
- subject
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
本発明は、個人情報を取扱う事業者の施設において、当該個人情報を管理するために用いられる個人情報管理装置,コンピュータをかかる個人情報管理装置として機能させる個人情報管理プログラム,および個人情報管理装置及びサーバ装置からなる個人情報管理システムに、関する。
個人情報は、様々な事業者において収集されて利用されているが、憲法13条の保障するプライバシー権にかかわる重要な情報であるために、その取り扱いには厳重な注意が必要であり、特に、個人情報が外部に流出することは避けなければならない。そこで、我が国は、近年、個人情報の保護に関する法律を制定し、個人情報取扱事業者(同法第2条第3項)に対して、個人情報の利用目的の通知等(同法18条),本人の同意無き第三者への個人データ提供の禁止(同法23条)等の義務を、課している。
従って、個人情報取扱事業者は、管理している個人情報を本人の同意無く外部に開示したり、漏洩せぬように、個人情報の漏洩防止措置を講じなければならない(同法第20条)。
特開2004−30143号公報
ところが、当該施設において個人情報にアクセスする全ての職員が同法の規定内容を理解して、これを遵守する意思を有していれば、かかる個人情報の漏洩防止措置としては簡単な仕組みのものでも足りるが、現実には、全職員にそれを期待することには無理がある。だからといって、個人情報の漏洩防止措置を強化して、例えば、暗号化手段によって更新の都度鍵を用いて個人情報を暗号化するとともに、閲覧の間だけ復号化してディスプレイ表示するように構成してしまうと、(1)個人情報管理装置のシステムダウン等の原因に因り暗号化された個人情報が破損していた場合に、平文のまま個人情報を保管する場合に比べてもなお個人情報の復旧が困難となる問題,並びに、(2)必ずしも情報処理の専門家でない職員によって不適切な管理がなされた結果として暗号化された個人情報を格納した個人情報ファイルと鍵とが一緒に漏洩される可能性があるので、その結果として外部において個人情報が復号化されてしまう問題がある。
そこで、本発明の課題は、個人情報を取り扱う施設に設置された個人情報管理装置(個人情報管理用のコンピュータ)において、個人情報ファイルに格納されるべき個人情報を更新する都度暗号化することにより個人情報の保護を図るとともに、暗号化された個人情報を格納した個人情報ファイルを、復号化できぬ態様で当該個人情報管理装置(個人情報管理用のコンピュータ)外に退避させることによって、当該個人情報管理装置(個人情報管理用のコンピュータ)のシステムダウン等に因るデータ喪失の危険を回避することとする。
上述した課題を解決するための本発明による個人情報管理装置及び個人情報管理プログラムを実行するコンピュータは、鍵を発行する鍵発行手段と、入力装置を通じて入力される情報に従って、個人情報ファイルに格納すべき個人情報の更新を行う個人情報更新手段と、個人情報更新手段による個人情報に対する更新を行った後に、鍵発行手段によって発行された鍵を用いて、個人情報を暗号化する暗号化手段と、当該暗号化手段によって暗号化された個人情報を格納した個人情報ファイルを通信装置を用いてサーバ装置にアップロードするアップロード手段と、入力装置を通じて入力される情報に従って、サーバ装置から、個人情報ファイルをダウンロードするダウンロード手段と、サーバ装置から所定のマスターキーをダウンロードするマスターキーダウンロード手段と、鍵発行手段によって発行された鍵をマスターキーを用いて暗号化する鍵暗号化手段と、鍵暗号化手段によって暗号化された鍵を記憶装置に保存する鍵保存手段と、記憶装置に保存されている鍵を取り出し、マスターキーを用いて復号化する鍵復号化手段と、鍵復号化手段によって復号化された鍵を用いて、ダウンロード手段によってダウンロードされた個人情報ファイル中の暗号化された個人情報を復号化する復号化手段と、復号化手段によって復号化された個人情報の内容を出力する出力装置とを、備える。
以上のように機能することにより、個人情報ファイルは、個人情報管理装置(コンピュータ)において個人情報の更新(追加、変更等)を行う場合のみ、サーバ装置からダウンロードされ、そこに格納された個人情報が、当該個人情報管理装置(コンピュータ)内で発行された暗号化用の鍵を復号化用の鍵として用いて復号化され、更新後に、再度上記暗号化用の鍵を用いて暗号化されて、個人情報ファイルに格納されてサーバ装置にアップロードされる。従って、常時には、平文の個人情報は個人情報管理装置(コンピュータ)内に存在していないので、当該個人情報管理装置(コンピュータ)が設置された施設内であっても、アクセス権限の無い者やアクセス制限があっても適正な手順を踏まない者は、個人情報の内容を盗み見ることができない。また、個人情報は、暗号化されて個人情報ファイルに格納された状態でサーバ装置にアップロードされて保管され、個人情報管理装置(コンピュータ)において当該個人情報にアクセスする必要が生じる毎に、サーバ装置から個人情報管理装置(コンピュータ)へダウンロードされて、使用される。従って、個人情報管理装置(コンピュータ)においてシステムダウン等の障害が発生したとしても、個人情報が失われてしまうことを防止することができる。なお、サーバ装置にアップロードされている個人情報ファイル中の個人情報を復号化するための鍵は、アップロード元の個人
情報管理装置(コンピュータ)内にのみ存在し、サーバ装置内には存在しない。従って、サーバ措置において当該個人情報ファイル中の個人情報にアクセスしようとしても復号化することができない。以上のように、個人情報の内容を見るには、個人情報管理装置(コンピュータ)において復号化用の鍵を用いて復号する以外にないので、個人情報の保護強化を図ることができる。
情報管理装置(コンピュータ)内にのみ存在し、サーバ装置内には存在しない。従って、サーバ措置において当該個人情報ファイル中の個人情報にアクセスしようとしても復号化することができない。以上のように、個人情報の内容を見るには、個人情報管理装置(コンピュータ)において復号化用の鍵を用いて復号する以外にないので、個人情報の保護強化を図ることができる。
また、本発明によれば、個人情報管理装置(コンピュータ)において、鍵が不正に使用されて個人情報が不正に復号化されてしまうことを、防止することができる。
さらに、正式なアクセス権限を有する操作者が個人情報管理装置(コンピュータ)を操作してサーバ装置にアクセスしなければ、マスターキーをダウンロードすることができないので、個人情報の保護を更に強化することができる。
以上のように構成された本発明によると、個人情報ファイルに格納されるべき個人情報を更新する都度暗号化することにより個人情報の保護を図ることができるとともに、暗号化された個人情報を格納した個人情報ファイルを、復号化できぬ態様で当該個人情報管理装置(個人情報管理用のコンピュータ)外に退避させることによって、当該個人情報管理
装置(個人情報管理用のコンピュータ)のシステムダウン等に因るデータ喪失の危険を回避することができる。
装置(個人情報管理用のコンピュータ)のシステムダウン等に因るデータ喪失の危険を回避することができる。
1.以下、図面に基づいて、本発明による個人情報管理システムの実施の形態であるコンピュータネットワークの実施形態を、説明する。なお、以下の実施形態は、かかる個人情報管理装置及び個人情報管理システムが、製薬会社等の治験依頼者からの依頼に従って多数の医療機関が参加して行われる治験(臨床試験)によって得られる臨床データをデータセンターに集約するために、EDC(Electronic Data Capture)システムと併用される
例である。
例である。
即ち、治験に参加する医療機関(以下、「試験参加施設」という)においては、治験依頼者から渡された治験計画書に従って、被験者が選択・特定され、特定された被験者に対して、指定された治験対象の処置(薬品投与,施術,等)が実施されるとともに、その処置の前後において夫々検査や問診が行われて被験者の状態が記録される。そこで、試験参加施設には、個人情報管理システムが動作する端末が設置され、かかる被験者毎の処置の実施記録及び検査や問診の記録(以下、「臨床データ」という)が、それら被験者の個人情報(氏名,イニシャル等)とともにデータベース(被験者個人情報データベース)に保存して管理されている。
なお、試験参加施設においても、各被験者の臨床データは、各被験者毎に一意に割り当てられた識別番号(被験者識別ID)によって識別されるのであるが、これに加えて各被験者の個人情報たる氏名をも臨床データに対応付けられているのは、被験者に対するコミュニケーションは、被験者の氏名に基づいて行わざるを得ないからである。また、当該試験参加施設内で使用されている限りは、被験者の個人情報の通常の使用目的範囲内であると合理的に判断できるからである。
このようにして被験者個人情報データベースに蓄積された臨床データは、EDCシステムを用いてデータセンターに収集され、データセンター内において、様々な視点から集計及び解析がなされる。この集計・解析に際しては、各被験者の性別,身体的特徴がパラメータとして用いられるが、データ集計・解析は客観的になされるので、特定の個人と結びつけるための個人情報はそもそも必要がない。従って、個人情報をデータセンターに通知することは、通常の使用目的外であるといえる。そのため、EDCシステムを通じて各医療機関からデータセンターへ送信される臨床データには、各被験者の個人情報は含まれていない。
なお、個人情報管理システムは、データセンターに設置されているサーバ装置と連動して運用することも可能であるし、ローカルに運用することも可能である。前者の場合には、個人情報管理システムとEDCシステムとを連動させて、個人情報管理システムによって管理されている治験データを、必要なデータを自動抽出してデータセンターへ送信することが可能となる。
2.システム構成
図1は、本発明の実施の形態であるコンピュータネットワークの概略構成を示すブロック図である。この図1に示されているように、このコンピュータネットワークは、インターネット,専用線等の広域ネットワークNを通じて相互に接続可能に構築された臨床試験データセンター側のシステム1と、各試験参加施設側のシステム2とから、構成されている。
図1は、本発明の実施の形態であるコンピュータネットワークの概略構成を示すブロック図である。この図1に示されているように、このコンピュータネットワークは、インターネット,専用線等の広域ネットワークNを通じて相互に接続可能に構築された臨床試験データセンター側のシステム1と、各試験参加施設側のシステム2とから、構成されている。
臨床試験データセンター側のシステム1は、図2に示すように、ルータ3を通じて広域
ネットワークNに接続されたLAN(ローカルネットワーク)上の複数のサーバ装置(ウェブサーバ装置11,データベースサーバ12,等)から、構成されている。また、各試験参加施設側システム2も、ルータ3を通じて広域ネットワークNに接続されるとともに夫々の試験参加施設内に構築されているLAN上の複数のコンピュータ(ファイルサーバ装置21,端末22)から、構成されている。
ネットワークNに接続されたLAN(ローカルネットワーク)上の複数のサーバ装置(ウェブサーバ装置11,データベースサーバ12,等)から、構成されている。また、各試験参加施設側システム2も、ルータ3を通じて広域ネットワークNに接続されるとともに夫々の試験参加施設内に構築されているLAN上の複数のコンピュータ(ファイルサーバ装置21,端末22)から、構成されている。
これら各サーバ装置11,12,21は、サーバ装置として通常備えているハードウェア(プログラム及び各種データを格納するディスク装置であるハードディスク24,ハードディスク24に格納されているプログラムを読み込んで実行し、別途読み込むか外部から入力されたデータに対してプログラムに従った処理を施すCPU23,CPU23が上記処理を実行する際の作業領域が展開される主記憶装置であるRAM17,LANとの間で通信プロトコルに従ったデータ変換を行う通信アダプタ25,等)を有している。また、各端末22も、端末装置として通常備えているハードウェア(サーバ装置について説明したものと同様のハードディスク29[記憶装置に相当],CPU26,RAM27,通信アダプタ18[通信装置に相当]の他、操作者によって操作されることによってCPU26にコマンド又はデータを入力するキーボードやポインティングデバイス等の入力装置19,CPU26による処理結果を画面出力するディスプレイ28[出力装置に相当])を有している。
なお、各試験参加施設2において、端末22は複数台設置されており、夫々、治験を実施する医師又は治験コーディネータ(CRC)によって操作される。
図1には、各システム1,2を構成する各コンピュータ11,12,21,22毎に、夫々のハードディスク24,29に格納されている各種プログラム及び各種データのソフトウェア構成(論理構成)が、示されている。そこで、次に、各コンピュータ上で各種プログラムによって実現される機能及びデータの説明を行う。
先ず、データベースサーバ12は、ハードディスク24に格納されたデータベース管理ソフトをCPU23が読み込んで実行することにより、ハードディスク24内に各種データベースを構築し、外部からの要求に応じて各データベースにデータを蓄積し、また、外部からの要求に応じて各データベースを検索してデータを抽出するコンピュータである。ここでは、データベースサーバ12のハードディスク24内には、3つのデータベース(EDCユーザデータベース121,臨床試験データベース122,試験参加施設マスターキーデータベース123)が、構築されている。
EDCユーザデータベース121は、EDCシステムにアクセスする権限を有する個々の医師(以下、「試験参加医師」という)及び個々の治験コーディネータ毎に、個人識別情報であるID,パスワード及びそれが帰属する試験参加施設を識別するための施設IDの組(即ち、アカウント)を格納しているデータベースである。
また、臨床試験データベース122は、臨床試験計画書に規定される処置に関する各被験者についての臨床データ(但し、個人情報は含まれていない)を格納しているデータベースである。
また、試験参加施設マスターキーデータベース123は、各試験参加施設の施設IDに対応付けて、その試験参加施設に対して一意に発行された「施設マスターキー(詳細については後述するが、各試験参加施設において被験者個人情報データベースファイル212を暗号化するために用いた鍵[施設セッションキー]を、更に暗号化するために用いられる鍵)」を保存するデータベースである。
次に、ウェブサーバ11は、ハードディスク24に格納されたウェブサーバサービスソフトウェアをCPU23が読み込んで実行することにより、クライアントから要求されたメッセージ(HTTPリクエストメッセージ)に応じたデータを応答するコンピュータである。ウェブサーバ11のハードディスク24には、上記ウェブサーバサービスソフトウェアの他、図1に示したEDCサーバソフトウェア111,被験者個人情報管理クライアントソフトインストールプログラム112,被験者個人情報管理サーバソフトウェア113,及び、各試験参加施設2(個人情報管理システムをサーバ113と連動させて運用しているものに限る)毎の施設被験者個人情報データベースのコピー114が、含まれている。
EDCサーバソフトウェア111は、EDCシステムを実現するための各種CGIプログラムやサーブレットから構成されるプログラム又はプログラム群である。即ち、当該EDCサーバソフトウェア111を読み込んだCPU23は、EDCサービスのURL宛のメッセージを受信すると、図6に示す入口画面を端末22のディスプレイ28上に表示させる画面データを応答する。それ以後、EDCサービスの何れかの画面のURL宛のメッセージを受信すると、対応する画面を表示させる画面データを応答し、臨床データをパラメータとして含むデータ登録要求メッセージを受信すると、当該臨床データの臨床試験データベース122への登録を、データベースサーバ12に指示する。さらに、当該EDCサーバソフトウェア111を読み込んだCPU23は、各端末22から、被験者個人情報管理クライアントソフトインストールプログラム112のダウンロード要求メッセージを受信すると、これをハードディスク24から読み出して、メッセージ送信元端末22へ応答する。
当該被験者個人情報管理クライアントソフトインストールプログラム112は、実施される臨床試験毎及び試験参加施設毎に準備され、これをダウンロードした端末22のCPU26に対して、ハードディスク29に被験者個人情報管理クライアントソフトウェア222及びシステム設定情報ファイル223をインストールさせるプログラムである。そのため、当該被験者個人情報管理クライアントソフトインストールプログラム112には、圧縮された被験者個人情報管理クライアントソフトウェア222,システム設定情報ファイル223及びインストーラが含まれている。この被験者個人情報管理クライアントソフトインストールプログラム112の機能については、端末22の説明箇所において説明する。
被験者個人情報管理サーバソフトウェア113は、各端末22にインストールされた被験者個人情報管理クライアントソフトウェア222と連動し、当該被験者個人情報管理クライアントソフトウェア222を実行している端末22のCPU26からマスターキーの要求メッセージを受信すると、当該端末22が属する試験参加施設に一意に対応した施設マスターキーを、データベースサーバ12の試験参加施設マスターキーデータベース123から読み出して応答し、同様に被験者個人情報データベース212のコピー(暗号化ファイル)のアップロード要求メッセージを受信すると、当該端末22からFTP(File Transfer Protocol)等のプロトコルによって送信されてくる同コピー114を、ハードディスク24に格納する。また、何れかの端末22から、被験者個人情報データベース212のコピー(暗号化ファイル)のダウンロード要求メッセージを受信すると、当該端末22が属する試験参加施設2に対応する被験者個人情報データベース212のコピー(暗号化ファイル)を、ハードディスク24から読み出して応答する。
次に、各試験参加施設2のファイルサーバ21は、ハードディスク24に公知のファイルサーバプログラムを格納し、CPU23によって当該ファイルサーバプログラムを実行するコンピュータである。そして、このファイルサーバ21のCPU23は、上記ファイルサーバプログラムの機能に従い、ハードディスク24内部を、論理的に、相互にツリー
構造をなす多階層且つ多数のディレクトリに区切る。そのうちの一つが、データディレクトリであり、ローカルユーザデータベース211及び被験者個人情報データベース212が、構築され且つ格納される。ここに、被験者個人情報データベース212は、各被験者毎に、その個人情報及び臨床データを格納しているデータベースであり、後述する施設セッションキーによって常時暗号化された状態でファイル化されてハードディスク24内に格納されており、各端末22がアクセスする間のみ同施設セッションキーによって復号化される。ローカルユーザデータベース211は、当該試験参加施設2において個人情報管理システムがローカルで運用されている場合にのみ利用されるデータベースであり、端末22を操作することによって被験者個人情報データベース212にアクセスできる権限を有する利用者(医師,治験コーディネータ)のユーザID及びパスワード(ローカルアカウント)が、登録されている。
構造をなす多階層且つ多数のディレクトリに区切る。そのうちの一つが、データディレクトリであり、ローカルユーザデータベース211及び被験者個人情報データベース212が、構築され且つ格納される。ここに、被験者個人情報データベース212は、各被験者毎に、その個人情報及び臨床データを格納しているデータベースであり、後述する施設セッションキーによって常時暗号化された状態でファイル化されてハードディスク24内に格納されており、各端末22がアクセスする間のみ同施設セッションキーによって復号化される。ローカルユーザデータベース211は、当該試験参加施設2において個人情報管理システムがローカルで運用されている場合にのみ利用されるデータベースであり、端末22を操作することによって被験者個人情報データベース212にアクセスできる権限を有する利用者(医師,治験コーディネータ)のユーザID及びパスワード(ローカルアカウント)が、登録されている。
次に、各試験参加施設2の端末22は、ハードディスク29内にウェブブラウザープログラム221を格納しており、このウェブブラウザープログラムをCPU26が読み込んで実行することにより、ウェブザーバ11にメッセージを送信して、EDCサーバソフトウェア111を起動させ、所望の画面データを取得してディスプレイ28上に当該画面データに基づく画面を表示するとともに、この画面内の入力欄に入力された情報をウェブサーバ11へ送信することができる。また、端末22は、ウェブブラウザープログラム221の機能に従って、ウェブサーバ11から被験者個人情報管理クライアントソフトインストールプログラム112をダウンロードする。この被験者個人情報管理クライアントソフトインストールプログラム112をCPU26が読み込んで実行すると、ハードディスク29内の所定ディレクトリに、被験者個人情報管理クライアントソフトウェア222及びシステム設定情報ファイル223がインストールされる。
このシステム設定情報ファイル223は、システムID(即ち、実施される臨床試験を一意に識別するための識別情報である試験ID),EDCサーバソフトウェア111によって実現されるEDCシステムのURL,被験者個人情報管理サーバソフトウェア113のURL,及び内蔵マスターキーを、格納している。なお、内蔵マスターキーは、当該試験参加施設において個人情報管理システムがローカルで運用される場合に、後述する施設セッションキーを暗号化及び復号化するために用いられる。但し、このシステム設定情報ファイルは、臨床試験データセンター1側において、予め、これに対応した被験者個人情報管理クライアントソフトウェア222を実行するCPU26のみが解読できる非公開フォーマットによって暗号化されている。そして、被験者個人情報管理クライアントソフトウェア222は解読したこれら情報を外部出力しないので、特に内蔵マスターキーが冒用されて、後述する施設セッションキーが不正に復号化されて被験者個人情報データベース212が不正利用されるおそれがない。
被験者個人情報管理クライアントソフトウェア222を読み込んだCPU26は、先ず、ユーザから入力される情報に基づいて施設設定ファイル274をハードディスク29内に生成する。この施設設定ファイル274は、当該試験参加施設を一意に識別するための識別情報である施設ID,当該試験参加施設の施設名,当該試験参加施設2内において独自に生成されて被験者個人情報データベース214を暗号化及び復号化するために用いられる施設セッションキー(暗号化用の鍵及び復号化用の鍵に相当),被験者個人情報データベース214のデータディレクトリ,当該試験参加施設における運用形式(データセンターとの連動運用であるかローカル運用であるか)を、格納している。なお、施設セッションキーは、被験者個人情報管理クライアントソフトウェア222に従った処理を通じて、ローカル運用の場合には内蔵マスターキーを用いて、データセンターとの連動運用の場合には被験者個人情報データベース212に対するデータアクセスの都度、臨床試験データセンター1から通知された施設マスターキー(臨床試験データセンター1側において各試験参加施設2毎に予め作成されている暗号化鍵)を用いて暗号化されて、当該施設設定
ファイル224に格納されている。なお、被験者個人情報管理クライアントソフトウェア222は、臨床試験データセンター1から通知された施設マスターキーを外部出力しないので、施設セッションキーが不正に復号化されて被験者個人情報データベース212が不正利用されるおそれがない。また、施設設定ファイル224は、施設マスターキーまたは内臓マスターキーで暗号化されているので、安心してリムーバブル記憶媒体にコピーされる等して、バックアップされ、また、当該施設参加施設2内の他の端末2に配布される。但し、この施設設定ファイル224は、臨床試験データセンター1へは提供されないので、臨床データセンター1において施設マスターキーによって施設セッションキーが復号化され、後述するようにアップロードされている被験者個人情報データベースのコピー114中の個人情報が不正に復号化されて、被験者の個人情報が漏洩してしまうことが防止される。
ファイル224に格納されている。なお、被験者個人情報管理クライアントソフトウェア222は、臨床試験データセンター1から通知された施設マスターキーを外部出力しないので、施設セッションキーが不正に復号化されて被験者個人情報データベース212が不正利用されるおそれがない。また、施設設定ファイル224は、施設マスターキーまたは内臓マスターキーで暗号化されているので、安心してリムーバブル記憶媒体にコピーされる等して、バックアップされ、また、当該施設参加施設2内の他の端末2に配布される。但し、この施設設定ファイル224は、臨床試験データセンター1へは提供されないので、臨床データセンター1において施設マスターキーによって施設セッションキーが復号化され、後述するようにアップロードされている被験者個人情報データベースのコピー114中の個人情報が不正に復号化されて、被験者の個人情報が漏洩してしまうことが防止される。
被験者個人情報管理クライアントソフトウェア222を読み込んだCPU26は、内蔵マスターキー又は施設マスターキーを用いて施設設定ファイル224中の施設セッションキーを復号化し、この施設セッションキーを用いて被験者個人情報データベース212を復号化し、被験者個人操作者(医師,治験コーディネータ)によって入力された被験者の個人情報を登録する。かかる登録後、被験者個人情報管理クライアントソフトウェア222を読み込んだCPU26は、被験者個人情報データベース212を再度復号化し、データセンターとの連動運用がなされている場合には、暗号化された被験者個人情報データベース212のコピー114を格納したファイル(個人情報ファイル)を、臨床試験データセンター1のウェブサーバ11にアップロードする(アップロードされたコピー114を格納したファイルは、次に何れかの端末22が被験者個人情報管理クライアントソフトウェア222を起動した時に、ダウンロードされて、ファイルサーバ21上の被験者個人情報データベース212のファイルに上書きされる。)。
3.処理
次に、本実施形態に係る個人情報管理システムを実現するために、上述した各種プログラムを読み込んだ各装置11,12,21,22が実行する処理を、図3乃至図5のフローチャートに基づいて説明する。
次に、本実施形態に係る個人情報管理システムを実現するために、上述した各種プログラムを読み込んだ各装置11,12,21,22が実行する処理を、図3乃至図5のフローチャートに基づいて説明する。
(1)ウェブブラウザーソフトウェア221による被験者個人情報クライアントソフトインストールプログラム112のダウンロード
ウェブブラウザーソフトウェア221は市販のものであるので、URLが直接入力された場合に当該URL宛にHTTPリクエストメッセージを送信し、これに応じて応答されたHTTPレスポンスメッセージを受信して、当該メッセージによって送信されてくる画面データに基づいてディスプレイ28上に画面表示を行う。また、例えば、かかる画面データ中にリンクアイテム(アンカータグ)が含まれている場合に、操作者によって当該リンクアイテムが操作された場合には、当該リンクアイテムに組み込まれたリンク先URL宛にHTTPリクエストメッセージを送信する。また、画面データ中に送信ボタンが含まれている場合に、操作者によって、操当該送信ボタンに対応したテキストボックス,チェックボックス,ラジオボタン等に情報が設定された状態で送信ボタンが操作された場合には、これらの情報をパラメータとして含むHTTPリクエストメッセージを、当該送信ボタンに組み込まれたURL宛に送信する。
ウェブブラウザーソフトウェア221は市販のものであるので、URLが直接入力された場合に当該URL宛にHTTPリクエストメッセージを送信し、これに応じて応答されたHTTPレスポンスメッセージを受信して、当該メッセージによって送信されてくる画面データに基づいてディスプレイ28上に画面表示を行う。また、例えば、かかる画面データ中にリンクアイテム(アンカータグ)が含まれている場合に、操作者によって当該リンクアイテムが操作された場合には、当該リンクアイテムに組み込まれたリンク先URL宛にHTTPリクエストメッセージを送信する。また、画面データ中に送信ボタンが含まれている場合に、操作者によって、操当該送信ボタンに対応したテキストボックス,チェックボックス,ラジオボタン等に情報が設定された状態で送信ボタンが操作された場合には、これらの情報をパラメータとして含むHTTPリクエストメッセージを、当該送信ボタンに組み込まれたURL宛に送信する。
そこで、操作者が、端末22の入力装置19を操作して、ウェブブラウザーソフトウェア221に適宜コマンドを入力することにより、EDCシステムのURL宛にHTTPリクエストメッセージ(EDC起動メッセージ)を送信する。すると、このEDC起動要求メッセージは、臨床試験データセンター1のウェブサーバ11により受信され、当該ウェブサーバ11のCPU23(以下、単に、「ウェブサーバ11」という)が、メッセージ中のURLを解析することにより、EDCサーバソフトウェア111を起動する。
EDCサーバソフトウェア111を起動したウェブサーバ11は、当該EDCサーバソフトウェア111に従い、ウェブブラウザーソフトウェア221を実行している端末22のCPU26が読み込むことによってそのディスプレイ28上に図6に示す入口画面を表示させる画面データを、要求元端末22へ送信する。以下、斯様に画面データを端末22へ送信することを、単に、「〜画面を端末22に表示させる」と、表現する。
図6に示す入口画面には、ID記入欄30,パスワード記入欄31及びログインボタン32が含まれている。そして、その画面データには、操作者が端末22の入力装置19を用いて各欄30,31に夫々文字列を書き込んだ状態でログインボタン32を操作した時に、ウェブブラウザーソフトウェア221を実行している端末22のCPU26に対して、各欄30,31に記入された文字列を、夫々ID及びパスワードを示すパラメータとして包含するHTTPリクエストメッセージ(ログイン要求メッセージ)をウェブサーバ11へ送信させる設定が、含まれている。
このようにして端末22から送信されたログイン要求メッセージを受信したウェブサーバ11は、受信したログイン要求メッセージからID及びパスワードを抽出して、これらID及びパスワードと同じアカウントがEDCユーザデータベース121に登録されているかどうかをチェックする。そして、かかるアカウントが登録されていない場合には不正なアクセスがなされたとして警告画面を端末22に表示させるが、かかるアカウントが登録されている場合には、ウェブサーバ11は、図7に示すメニュー画面を、端末22に表示させる。図7に示すように、このメニュー画面には、臨床データ入力ボタン33,ダウンロードボタン34及びログアウトボタン35が含まれており、その画面データには、各ボタン33〜35が操作された場合にその旨のメッセージをウェブサーバ11へ送信させる設定が、組み込まれている。
このメニュー画面を表示している端末22から、ダウンロードボタン34が操作された旨のメッセージを受信すると、ウェブサーバ11は、被験者個人情報管理クライアントソフトインストールプログラム112を、当該端末22へ送信する。
その後、メニュー画面を表示している端末22から、ログアウトボタン35が操作された旨のメッセージを受信すると、ウェブサーバ11は、EDCサーバソフトウェア111による処理を終了する。
(2)被験者個人情報管理クライアントソフトインストールプログラム112による被験者個人情報管理クライアントソフトウェア222のインストール
一方、被験者個人情報管理クライアントソフトインストールプログラム112をダウンロードした端末22において、当該被験者個人情報管理クライアントソフトインストールプログラム112が実行されると、上記インストーラの機能により、操作者に対してインストール先ディレクトリを問い合わせるダイアログが表示され、当該ダイアログから操作者がインストール先ディレクトリを選択すると、選択されたディレクトリに、被験者個人情報管理クライアントプログラム222およびシステム設定情報ファイル223がインストールされる。
一方、被験者個人情報管理クライアントソフトインストールプログラム112をダウンロードした端末22において、当該被験者個人情報管理クライアントソフトインストールプログラム112が実行されると、上記インストーラの機能により、操作者に対してインストール先ディレクトリを問い合わせるダイアログが表示され、当該ダイアログから操作者がインストール先ディレクトリを選択すると、選択されたディレクトリに、被験者個人情報管理クライアントプログラム222およびシステム設定情報ファイル223がインストールされる。
(3)被験者個人情報管理クライアントソフトウェア222によるシステム初期設定
以上のようにして被験者個人情報管理クライアントソフトウェア222およびシステム設定情報ファイル223がインストールされた端末22において、操作者が入力装置19を用いて当該被験者個人情報管理クライアントソフトウェア222の起動コマンドを入力すると、当該端末22のCPU26が当該被験者個人情報管理クライアントソフトウェア222を読み込んで、当該被験者個人情報管理クライアントソフトウェア222に従って
、図3乃至図5のフローチャートに示す処理を実行する。
以上のようにして被験者個人情報管理クライアントソフトウェア222およびシステム設定情報ファイル223がインストールされた端末22において、操作者が入力装置19を用いて当該被験者個人情報管理クライアントソフトウェア222の起動コマンドを入力すると、当該端末22のCPU26が当該被験者個人情報管理クライアントソフトウェア222を読み込んで、当該被験者個人情報管理クライアントソフトウェア222に従って
、図3乃至図5のフローチャートに示す処理を実行する。
この処理を開始して最初のS001では、被験者個人情報管理クライアントソフトウェア222に従って動作している端末22のCPU26(以下、単に「端末22」と表記する)は、ハードディスク29に施設設定ファイル224が存在しているかどうかをチェックする。そして、既に施設設定ファイル224が存在している場合には、当該被験者個人情報管理クライアントソフトウェア222を過去に起動してS002からS016の処理を既に完了しているものと判断して、処理を直ちにS101へ進める。
これに対して、未だ施設設定ファイル224が存在していない場合には、端末22は、当該被験者個人情報管理クライアントソフトウェア222を初めて起動するのであると判断して、処理をS002へ進める。S002では、端末22は、図8に示す施設設定ファイルチェック画面を、ディスプレイ28上に表示する。図8に示すように、この施設設定ファイルチェック画面には、施設設定ファイル224を新規作成するのか他の端末22において既に作成された施設設定ファイル224をコピーして用いるのかを選択するための施設設定ファイルオプションボタン群36,当該施設設定ファイルオプションボタン36にて既存のファイルのコピーが選択された場合に、コピー元の施設設定ファイルが存在している位置(例えば、当該端末22に一時的に装着されたリムーバブルメディア)へのパスが指定されるファイル位置指定欄37,作成ボタン38及びキャンセルボタン39が含まれている。そして、端末22は、キャンセルボタン39が操作された場合にはこの被験者個人情報管理クライアントソフトウェア222に従った処理を終了し、施設設定ファイルオプションボタン群36によって「新規作成」が選択されている状態で作成ボタン38が操作された場合には、処理をS005へ進め、施設設定ファイルオプションボタン群36によって「既存のファイルをコピー」が選択されているとともにファイル位置指定欄37にパスが指定されている状態で作成ボタン38が操作された場合には、処理をS004へ進める。
S004では、端末22は、ファイル位置指定欄にて指定されたパスに相当する場所から、施設設定ファイル242を読み出して、ハードディスク29における当該被験者個人情報管理クライアントソフトウェア222と同じフォルダにコピーする。S004を完了すると、端末22は、処理をそのままS016へ進める。
一方、S005では、端末22は、図9に示すシステム初期設定画面をディスプレイ28上に表示する。図9に示すように、当該システム初期設定画面には、システム運用方式選択オプションボタン群40,データ保存先記入欄41,施設ID記入欄42及びシステム初期化ボタン57を、含んでいる。
システム運用方式選択オプションボタン群40は、被験者個人情報管理システムをサーバと連携して運営するか連携させる事無くローカルで運営するかを選択するための複数のオプションボタンから構成されている。また、保存先記入欄41は、当該試験参加施設2におけるファイルサーバ21の上記データ保存ディレクトリのURLが入力される欄である。また、施設ID記入欄42は、当該試験参加施設のIDとして予め臨床試験データセンター1から指定されている文字列が入力される欄である。端末22は、各欄41〜42に文字列が入力された状態でシステム初期化ボタン57が操作されると、各欄41〜42に入力されている情報及びシステム運用方式選択オプションボタン群40により選択されたシステム運用方式の種別を、「設定データ」として、RAM27に待避させてから、処理をS006へ進める。
S006では、端末22は、乱数を発生して当該乱数に基づいて施設セッションキーを作成するとともに(鍵発行手段に相当)、RAM27上に、初期値の被験者個人情報デー
タベース212を生成する。
タベース212を生成する。
次のS007では、端末22は、S005にてRAM27に待避された設定データに含まれるシステム運用方式の種別をチェックし、「サーバと連動」が選択されている場合には処理をS012へ進め、「ローカル」が選択されている場合には処理をS008へ進める。
S008では、端末22は、ファイルサーバ21の上記データ保存ディレクトリ内に、ローカルユーザデータベース211の初期ファイルを生成する。既に、過去に作成したローカルユーザデータベース211のファイルが残存している場合には、これを初期化する。
次のS009では、端末22は、図10に示すローカルユーザ設定画面をディスプレイ28上に表示する。図10に示すように、このローカルユーザ設定画面には、各行に夫々当該試験参加機関においてアクセス権限が認められた個々の医師及び治験コーディネータのユーザID,パスワード,氏名(ユーザ名)等の情報を入力することができる表43及び保存完了ボタン44が、含まれている。操作者が、当該試験参加施設2においてアクセス権限が認められる各医師及び治験コーディネータについて、夫々、表43の各行にユーザID,パスワード及びユーザ名を入力した状態で保存完了ボタン44を操作すると、端末22は、表43に入力された情報に基づいて、当該試験参加施設においてアクセス権限が認められる各医師及び治験コーディネータのローカルアカウントを生成して、ローカルユーザデータベース211に登録する。
次のS010では、端末22は、上述したように非公開フォーマットにて暗号化されているシステム設定情報ファイル223を一時的に復号化して、内蔵マスターキーを読み出し、当該内蔵マスターキーを用いて、S006にて生成した施設セッションキーのコピーを暗号化する。なお、かかる暗号化を完了し次第、システム設定情報ファイル223は元に戻され、読み出された内蔵マスターキーは端末22内から完全に消去される。端末22は、このようにして暗号化した施設セッションキーを、S005にてRAM27に待避された設定データと一緒に施設設定ファイル224内に保存して、ハードディスク29内に格納する。
次のS011では、端末22は、上記施設セッションキーのオリジナルを用いて、ファイルサーバ21中のローカルユーザデータベース211を暗号化する。S011を完了すると、端末22は、処理をS015へ進める。
一方、「サーバと連動」が選択されている場合に実行されるS012では、端末22は、図11に示すシステム初期化ログイン画面をディスプレイ28上に表する。図11に示すように、このシステム初期化ログイン画面には、ID記入欄54,パスワード記入欄55及びログインボタン56が含まれている。
そして、端末22は、操作者が端末22の入力装置19を用いてシステム初期ログイン画面中の各欄54,55に夫々文字列を書き込んだ状態でログインボタン56を操作すると、次のS013において、ウェブブラウザーソフトウェア221を起動して、各欄54,55に記入された文字列を、夫々ID及びパスワードを示すパラメータとして包含するHTTPリクエストメッセージ(施設マスターキー要求メッセージ)をウェブサーバ11へ送信させる。この施設マスターキー要求メッセージを受信したウェブサーバ11は、被験者個人情報管理サーバソフトウェア113を起動する。そして、当該被験者個人情報管理サーバソフトウェア113に従って、連携要求メッセージに含まれるものと同じユーザID及びパスワードを含むアカウントがEDCユーザデータベース121に登録されてい
るかどうかチェックする。そして、かかるアカウントが登録されている場合には、当該アカウントから施設IDを読み出し、試験参加施設マスターキーデータベース123から、当該施設IDに対応した施設マスターキーを読み出して、メッセージ送信元端末22へ応答する。
るかどうかチェックする。そして、かかるアカウントが登録されている場合には、当該アカウントから施設IDを読み出し、試験参加施設マスターキーデータベース123から、当該施設IDに対応した施設マスターキーを読み出して、メッセージ送信元端末22へ応答する。
次のS014では、端末22は、S013にて取得した施設マスターキーを用いて、S006にて生成した施設セッションキーのコピーを暗号化する(鍵暗号化手段)。端末22は、このようにして暗号化した施設セッションキーを、S005にてRAM27に待避された設定データと一緒に施設設定ファイル224内に保存して、ハードディスク29内に格納する(鍵保存手段)。S014を完了すると、端末22は、処理をS015へ進める。
S015では、施設セッションキーのオリジナルを用いて、RAM27上の被験者個人情報データベース211を暗号化するとともに、これをファイル化してファイルサーバ21の上記データ保存ディレクトリ内に保存する。かかる暗号化を完了すると、端末22は、施設セッションキーのオリジナル及び内蔵マスターキー又は施設マスターキーを、直ちに消去する。このようにして、S015を完了すると、端末22は、処理をS016へ進める。
S016では、端末22は、図12に示すシステム初期設定画面を、ディスプレイ28上に表示する。図12に示すように、このシステム初期設定画面には、OKボタン48が含まれており、このOKボタン48が操作されると、端末22は、処理をS101へ進める。
S101では、端末22は、ファイルサーバ21上の被験者個人情報データベース212のファイルに対する排他ロックの設定を試みる。その結果、ファイルサーバ21上の被験者個人情報データベース212のファイルが他の端末22によって排他ロック中であれば、排他ロックの設定に失敗したことになるので、端末22は、S102において、図14に示すシステム使用中メッセージをディスプレイ28上に表示した後に、この被験者個人情報管理クライアントソフトウェア222に従った処理を終了する。
これに対して、ファイルサーバ21上の被験者個人情報データベース212のファイルが他の端末22によって排他ロック中でなければ、これを排他ロックの設定が成功するので、端末22は、処理をS103へ進める。
S103では、端末22は、施設設定ファイル224中の設定データから、データ保存ディレクトリ及びシステム運用方式の種別を読み出す。
S104では、端末22は、図13に示すシステムログイン画面をディスプレイ28上に表示する。図13に示すように、このシステムログイン画面には、ID記入欄45,パスワード記入欄46及びログインボタン47が含まれている。そして、端末22は、操作者が端末22の入力装置19を用いてシステムログイン画面中の各欄45,46に夫々文字列を書き込んだ状態でログインボタン47を操作すると、各欄45,46に書き込まれた情報をRAM27に待避させた後に、処理をS105へ進める。
S105では、端末22は、S103で読み出したシステム運用方式の種別をチェックし、「サーバと連動」が選択されている場合には処理をS109へ進め、「ローカル」が選択されている場合には処理をS106へ進める。
S106では、端末22は、上述したように非公開フォーマットにて暗号化されている
システム設定情報ファイル223を一時的に復号化して、内蔵マスターキーを読み出すとともに、施設設定ファイル224から、暗号化された施設セッションキーを読み出す。そして、端末22は、復号化された内蔵マスターキーを用いて、施設セッションキーを復号化する。なお、かかる復号化を完了し次第、システム設定情報ファイル223は元に戻され、読み出された内蔵マスターキーは端末22内から完全に消去される。
システム設定情報ファイル223を一時的に復号化して、内蔵マスターキーを読み出すとともに、施設設定ファイル224から、暗号化された施設セッションキーを読み出す。そして、端末22は、復号化された内蔵マスターキーを用いて、施設セッションキーを復号化する。なお、かかる復号化を完了し次第、システム設定情報ファイル223は元に戻され、読み出された内蔵マスターキーは端末22内から完全に消去される。
次のS107では、端末22は、ファイルサーバにおけるS103にて読み出したデータ保存ディレクトリに格納されているローカルユーザデータベース211のファイルをRAM27上に読み込んで、S106にて復号化した施設セッションキーを用いて復号化する。
次のS108では、端末22は、S104にてRAM27に待避させておいたものと同じユーザID及びパスワードを含むローカルアカウントが、S107にて復号化したローカルユーザデータベース211に格納されているかどうかをチェックする。そして、かかるローカルアカウントが登録されていなければ、ID及びパスワードを再入力させるために、処理をS104へ戻す。これに対して、かかるアカウントが登録されている場合には、端末22は、処理をS114へ進める。
一方、「サーバと連動」が選択されている場合に実行されるS109では、端末22は、ウェブブラウザーソフトウェア221を起動して、各欄45,46に記入された文字列を、夫々ID及びパスワードを示すパラメータとして包含するHTTPリクエストメッセージ(認証要求メッセージ)を、ウェブサーバ11へ送信させる。この認証要求メッセージを受信したウェブサーバ11は、被験者個人情報管理サーバソフトウェア113を起動する。そして、当該被験者個人情報管理サーバソフトウェア113に従って、認証要求メッセージに含まれるものと同じユーザID及びパスワードを含むアカウントがEDCユーザデータベース121に登録されているかどうかチェックする。そして、かかるアカウントが登録されている場合には、アカウントが有効である旨のレスポンスを要求元端末22へ応答し、かかるアカウントが登録されていない場合には、アカウントが無効である旨のレスポンスを要求元端末22へ応答する。
端末22は、次のS110において、ウェブサーバ11からのレスポンスの内容をチェックし、アカウントが無効である旨のレスポンスであれば、ID及びパスワードを再入力させるために処理をS104へ戻し、アカウントが有効である旨のレスポンスであれば、処理をS111へ進める。
S111では、端末22は、施設マスターキーを要求する旨のHTTPリクエストメッセージ(施設マスターキー要求メッセージ)を、ウェブサーバ11へ送信する(マスターキーダウンロード手段に相当)。この施設マスターキー要求メッセージを受信したウェブサーバ11は、当該被験者個人情報管理サーバソフトウェア113に従って、上記アカウントに含まれる施設IDに対応した施設マスターキーを試験参加施設マスターキーデータベース123から読み出し、要求元端末22へ応答する。
端末22は、次のS112において、施設設定ファイル224から、暗号化された施設セッションキーを読み出す。そして、端末22は、S111にてウェブサーバ11から取得した施設マスターキーを用いて、施設セッションキーを復号化する(鍵復号化手段に相当)。
次のS113では、端末22は、施設被験者個人情報データベースのコピー114を要求する旨のHTTPリクエストメッセージ(被験者個人情報データベース要求メッセージ)を、ウェブサーバ11へ送信する(ダウンロード手段に相当)。この被験者個人情報デ
ータベース要求メッセージを受信したウェブサーバ11は、被験者個人情報管理サーバソフトウェア113に従って、上記アカウントに含まれる施設IDに対応した施設被験者個人情報データベース212のコピー114のファイルを読み出して、要求元端末22へ応答する。端末22は、このようにしてダウンロードした被験者個人情報データベース212のコピー114のファイルを、ファイルサーバにおけるS103にて読み出したデータ保存ディレクトリに上書きする。S113を完了すると、端末22は、処理をS114へ進める。
ータベース要求メッセージを受信したウェブサーバ11は、被験者個人情報管理サーバソフトウェア113に従って、上記アカウントに含まれる施設IDに対応した施設被験者個人情報データベース212のコピー114のファイルを読み出して、要求元端末22へ応答する。端末22は、このようにしてダウンロードした被験者個人情報データベース212のコピー114のファイルを、ファイルサーバにおけるS103にて読み出したデータ保存ディレクトリに上書きする。S113を完了すると、端末22は、処理をS114へ進める。
S114では、端末22は、ファイルサーバ21におけるS103にて読み出したデータ保存ディレクトリに存在するファイル中の被験者個人情報データベース212をRAM27上に読み込んで、S106又はS112にて復号化された施設セッションキーを用いて復号化する(復号化手段に相当)。
次のS201では、端末22は、S114にて復号化した被験者個人情報データベース212のファイルから各被験者の個人情報を読み込んで、図15に示す被験者個人情報管理画面を、ディスプレイ28上に表示する。この被験者個人情報管理画面には、被験者個人情報データベース212から読み込んだ各被験者毎の個人情報を各行に表示するための表50,当該表50に追加されるべき新規被験者の個人情報を書き込むための複数のテキストボックスを備えた個人情報入力領域58,データ検索ボタン51,新規発行ボタン52,被験者識別ID欄59,EDC登録ボタン49,保存終了ボタン53を、含んでいる。
個々の被験者に対応した表50の各行には、夫々、「連番」,「被験者識別ID」,「患者氏名」,「カルテ番号」,「イニシャル姓」,「イニシャル名」,「性別」,「生年月日」,「疾患」,「省令登録番号」の各フィールドが、含まれている。このうち、連番とは、当該表における行の通し番号である。また、被験者識別IDとは、当該試験参加施設2において一意の被験者識別番号である。また、患者氏名とは被験者の実名である。また、カルテ番号とは、当該試験参加施設において当該被験者に対して行われた診断・治療の記録(カルテ)に付された識別番号である。また、イニシャル姓とは、被験者の姓のローマ字の頭文字であり、イニシャル名とは、被験者の名のローマ字の頭文字である。また、疾患とは、当該被験者が現在罹患している疾患名である。また、症例登録番号とは、上記疾患に対応した識別番号である。これらのうち、患者氏名,イニシャル姓及びイニシャル名は、個人を特定できる情報にあたり、これを含むことで当該被験者の個人情報が保護すべき個人情報となるため、常時被験者個人情報データベース212に格納されて暗号化されているのである。
個人情報入力領域58には、表50に登録される各種情報のうち、患者氏名,イニシャル姓,イニシャル名,生年月日,性別及び疾患を夫々入力するための7個のテキストボックスを含んでいる。操作者が、入力装置19を用いてこれら各テキストボックス内に値を書き込んだ状態で新規発行ボタン52を入力すると、新規の被験者識別IDが生成され、この新規被験者識別ID及び各テキストボックス内に書き込まれた値からなる新規被験者の個人情報が、RAM27上の被験者個人情報データベース212に追記されるとともに、追記された個人情報を表示した新規レコード(行)が、表50に追加される。
個人情報入力領域58中の何れかのダイアログボックスに対応する種類の個人情報が入力された状態,若しくは、被験者識別ID欄59に何れかの被験者の被験者識別IDが入力された状態でデータ検索ボタン51が操作されると、表50がスクロールされて、入力された情報に合致する行が、ハイライトされた状態で表示される。
端末22は、次のS202において、S201にて表示された被験者個人情報管理画面
上において何らかの操作がなされるのを待つ。そして、EDC登録ボタン49が操作された場合には、S203において、その時点で新規入力被験者識別ID欄54に入力されている被験者識別IDに相当する被験者の個人情報(但し、被験者氏名,イニシャル姓,イニシャル名を除く)を表50から抽出し、ウェブブラウザーソフトウェア221を起動して、このウェブブラウザーソフトウェア221の機能を用いて、ウェブサーバ11上のEDCサーバソフトウェア111へ送信する。以後、ウェブブラウザーソフトウェア221とEDCサーバソフトウェア111との間でデータ授受がなされることにより、端末22の操作者が、上記被験者についての治験情報を上記個人情報とともに臨床試験データベース122に登録する処理,及び、上記個人情報に対応付けて臨床試験データベース122に登録されている治験情報を更新する処理を、実行できるようになる。S203を完了すると、端末22は、処理をS202に戻す。以上説明したS201乃至S204の処理が、個人情報更新手段に相当する。
上において何らかの操作がなされるのを待つ。そして、EDC登録ボタン49が操作された場合には、S203において、その時点で新規入力被験者識別ID欄54に入力されている被験者識別IDに相当する被験者の個人情報(但し、被験者氏名,イニシャル姓,イニシャル名を除く)を表50から抽出し、ウェブブラウザーソフトウェア221を起動して、このウェブブラウザーソフトウェア221の機能を用いて、ウェブサーバ11上のEDCサーバソフトウェア111へ送信する。以後、ウェブブラウザーソフトウェア221とEDCサーバソフトウェア111との間でデータ授受がなされることにより、端末22の操作者が、上記被験者についての治験情報を上記個人情報とともに臨床試験データベース122に登録する処理,及び、上記個人情報に対応付けて臨床試験データベース122に登録されている治験情報を更新する処理を、実行できるようになる。S203を完了すると、端末22は、処理をS202に戻す。以上説明したS201乃至S204の処理が、個人情報更新手段に相当する。
また、被験者個人情報管理画面上においてデータ検索ボタン51,新規発行ボタン52が操作された場合には、端末22は、S204において、上述した如き処理を行った後に、処理をS202に戻す。
これに対して、被験者個人情報管理画面上において保存終了ボタン53が操作された場合には、端末22は、処理をS205へ進める。S205では、端末22は、S201にてRAM27上に読み込まれた被験者個人情報データベース212のファイルの内容(個人情報)に変化があったかどうかをチェックする。そして、個人情報に変化がなければ、端末22は、処理をそのままS207へ進める。これに対して、個人情報に変化があれば、端末22は、S206において、S106又はS112にて復号化された施設セッションキーを用いて、RAM27上に存在する被験者個人情報データベース212を暗号化し(暗号化手段に相当)、これをファイル化してファイルサーバ21上のデータ保存ディレクトリに上書きする。S206の完了後、端末22は、処理をS207へ進める。
S207では、端末22は、S103で読み出したシステム運用方式の種別をチェックし、「サーバと連動」が選択されている場合には処理をS210へ進め、「ローカル」が選択されている場合には処理をS208へ進める。
S208では、端末22は、S107にてRAM27上に読み込まれたローカルユーザデータベース211のファイルの内容に変化があったかどうかをチェックする。そして、変化がなければ、端末22は、処理をそのままS212へ進め、変化があれば、S209において、S106にて復号化された施設セッションキーを用いて、RAM27上に存在するローカルユーザデータベース211のファイルを暗号化し、ファイルサーバ21上のデータ保存ディレクトリに上書きした後に、処理をS212へ進める。
これに対して、S210では、端末22は、ウェブブラウザーソフトウェア221を起動して、接続を要求するHTTPリクエストメッセージ(接続要求メッセージ)を、ウェブサーバ11へ送信させる。
次のS211では、端末22は、ウェブブラウザーソフトウェア221の機能を用いて、ファイルサーバ21上のデータ保存ディレクトリに存在する被験者個人情報データベース212のコピー114を格納したファイルを、被験者個人情報管理サーバソフトウェアを実行しているウェブサーバ11へアップロードする(アップロード手段に相当)。S211を完了すると、端末22は、処理をS212へ進める。
S212では、端末22は、ファイルサーバ21上の被験者個人情報データベース212のファイルに対する排他ロックを解除する。S212を完了すると、端末22は、この
被験者個人情報管理クライアントソフトウェア222に従った処理を終了する。このように被験者個人情報管理クライアントソフトウェア222に従った処理が終了すると、当該端末22のRAM27に残された平文の被験者個人情報データベース212は、消滅する。
被験者個人情報管理クライアントソフトウェア222に従った処理を終了する。このように被験者個人情報管理クライアントソフトウェア222に従った処理が終了すると、当該端末22のRAM27に残された平文の被験者個人情報データベース212は、消滅する。
4.実施形態による動作
以上のように構成された本実施形態による個人情報管理システムによると、試験参加施設2において、治験コーディネータ又は主任の医師が、治験依頼者から治験計画書を受け取ると、当該治験コーディネータ又は主任の医師は、当該試験参加施設2に通院又は入院している患者若しくは当該試験参加施設2外からスカウトしてきた者の中から、治験計画書に従って適切な者を所定人数選択し、これらの者の了解を取り付けた上で、これらの者を当該治験における被験者として決定する。
以上のように構成された本実施形態による個人情報管理システムによると、試験参加施設2において、治験コーディネータ又は主任の医師が、治験依頼者から治験計画書を受け取ると、当該治験コーディネータ又は主任の医師は、当該試験参加施設2に通院又は入院している患者若しくは当該試験参加施設2外からスカウトしてきた者の中から、治験計画書に従って適切な者を所定人数選択し、これらの者の了解を取り付けた上で、これらの者を当該治験における被験者として決定する。
その上で、当該治験コーディネータ又は主任の医師は、当該試験参加施設2において自己が使用している端末22を操作することにより、上述したように、ウェブサーバ11(EDCサーバソフトウェア111)から被験者個人情報管理クライアントインストールプログラム112をダウンロードし、被験者個人情報管理クライアントインストールプログラム112を端末22上で実行することにより、被験者個人情報管理クライアントソフトウェア222及びシステム設定情報ファイル223を、ハードディスク29における所定のフォルダにインストールする。このように、端末を個人情報管理装置として機能させる被験者個人情報管理クライアントソフトウェア222は、インターネット,専用線等の広域ネットワークNを介して臨床試験データセンター1からダウンロードされるので、簡単に利用することができる。
次に、当該治験コーディネータ又は主任の医師は、端末22上で被験者個人情報管理クライアントソフトウェア222を実行する。このとき、ファイルサーバ212のデータ保存ディレクトリには、未だ当該治験についての被験者個人情報データベース212のファイルは格納されていないので、施設設定ファイルチェック画面(図8)が、ディスプレイ28上に表示される(S001:yes,S002)。但し、この時点では、試験参加施設2内には、当該治験についての施設設定ファイル224は存在していないので、当該治験コーディネータ又は主任の医師は、当然に、「新規作成」を選択して、作成ボタン38を操作することになる(S003:新規作成)。すると、ディスプレイ28上に、システム初期設定画面(図9)が表示される(S005)。
当該治験コーディネータ又は主任の医師が、当該システム初期設定画面(図9)のデータ保存先記入欄41にファイルサーバ21における所定のデータ保存ディレクトリのパスを記入し、施設ID記入欄42に当該試験参加施設2の識別情報を記入するとともに、システム運用形式の種別を適宜選択して、システム初期化ボタン57を操作すると、乱数に基づいて当該試験参加施設内部でのみ使用可能な施設セッションキーが生成されるとともに、RAM27上に、初期値の被験者個人情報データベース212が生成される(S006)。なお、以下の説明は、システム運用形式の種別として「EDCサーバと連動」が選択された場合を例にとって進めることとする(S007:サーバと連動)。
すると、次に、端末22のディプレイ上には、システム初期ログイン画面(図10)が表示される(S012)。そこで、当該治験コーディネータ又は主任の医師は、予め臨床試験データセンター1によって割り当てられている自己のユーザID及びパスワードを、当該システム初期ログイン画面中の各欄54,55に夫々入力した状態でログインボタン56を操作する。すると、これらユーザID及びパスワードを受信したウェブサーバ11(被験者個人情報管理サーバソフトウェア113)が、これらユーザID及びパスワードの組合せと同じアカウントがEDCユーザデータベース121に登録されているかどうか
の認証を行い、登録されているならば、認証が成功したものとして、当該アカウントに含まれる当該試験参加施設2の識別情報に対応した施設マスターキーを、試験参加施設マスターキーデータベース123から読み出して、要求元端末22に送信する(S013)。
の認証を行い、登録されているならば、認証が成功したものとして、当該アカウントに含まれる当該試験参加施設2の識別情報に対応した施設マスターキーを、試験参加施設マスターキーデータベース123から読み出して、要求元端末22に送信する(S013)。
端末22は、このようにして臨床試験データセンター1から取得した当該試験参加施設2に専用の施設マスターキーを用いて、先ず、施設セッションキーをコピーして、施設マスターキーを用いて当該コピーを暗号化し、施設設定ファイル224にファイル化した状態で、ハードディスク29の同一ディレクトリに保存する(S014)。また、施設セッションキーのオリジナルを用いて被験者個人情報データベース212を暗号化した後に、当該施設セッションキーのオリジナル及び施設マスターキーを廃棄する(S015)。
以上のようにして、当該治験コーディネータ又は主任の医師が使用する端末22内には施設設定ファイル224が作成され、ファイルサーバ21には被験者個人情報データベース212のファイルが作成されるので、当該端末22からは、以後、被験者個人情報データベース212に対するアクセス,即ち、被験者の臨床データの登録が可能となる(S101〜)。
また、治験コーディネータ又は主任の医師は、端末22のハードディスク29から施設設定ファイル224をリムーバブルメディアにコピーして、これを当該試験参加施設2内の他の端末22に配布することができる。即ち、他の端末22において、EDCユーザデータベース121に登録されている治験コーディネータ又は医師が上述したのと同じ操作を行えば、被験者個人情報管理クライアントソフトインストールプログラム112をウェブサーバ11(EDCサーバソフトウェア111)からダウンロードして実行することにより、被験者個人情報管理クライアントソフトウェア222を、その端末22のハードディスク29にインストールすることができる。そして、被験者個人情報管理クライアントソフトウェア222を立ち上げ、施設設定ファイルチェック画面(S002,図8)において「既存のファイルをコピー」を選択し、ファイル位置指定欄37に上記リムーバブルメディア内における施設設定ファイル224を保存したディレクトリのパスを記入して、作成ボタン38を操作すれば、当該リムーバブルメディア内から施設設定ファイル224が、当該他の端末22におけるハードディスク29における所定のディレクトリにコピーされる(S004)。これにより、当該他の端末22でも、上記治験コーディネータ又は主任の医師が使用する端末22におけるのと同様に、被験者個人情報データベース212に対するアクセス,即ち、被験者の臨床データの登録が可能となる(S101〜)。
また、以上のようにして被験者個人情報管理クライアントソフトウェア222及び施設設定ファイル224を既に備えている端末22において 当該被験者個人情報管理クライアントソフトウェア222が2度目以降に起動されると、S002からS016の処理が
スキップされて(S001:yes)、直ちに、被験者個人情報データベース212に対するアクセス,即ち、被験者の臨床データの登録が可能となる(S101〜)。
スキップされて(S001:yes)、直ちに、被験者個人情報データベース212に対するアクセス,即ち、被験者の臨床データの登録が可能となる(S101〜)。
被験者個人情報データベース212に対するアクセスをする際には、端末22は、他の端末22が排他ロックしていないことを条件に、当該被験者個人情報データベース212のファイルを排他ロックし(S101:成功)、ウェブサーバ11(被験者個人情報管理サーバソフトウェア113)から施設マスターキーを取得し(S111)、当該施設マスターキーを用いて施設セッションキーを復号化するとともに(S112)、当該試験参加施設の施設被験者個人情報データベース212のコピー114を格納したファイルをダウンロードして、これをファイルサーバ21に上書きし(S113)、復号化された施設セッションキーを用いてRAM27上で当該被験者個人情報データベース212を復号化する(S114)。以上の手続きを踏むことにより、ウェブサーバ11によって保管されていた被験者個人情報データベース212へのアクセスが可能となる。即ち、被験者個人情
報管理画面(図15)中の表50にその内容を表示させて、この被験者個人情報管理画面(図15)を通じて、被験者個人情報データベース212に各被験者の個人情報を追加することが可能となる(S201〜S204)。
報管理画面(図15)中の表50にその内容を表示させて、この被験者個人情報管理画面(図15)を通じて、被験者個人情報データベース212に各被験者の個人情報を追加することが可能となる(S201〜S204)。
以上のようにして被験者個人情報データベース212中の各被験者の個人情報の更新がなされた場合には(S205:あり)、端末22は、更新後の被験者個人情報データベース212を暗号化してファイル化したファイルをファイルサーバ21に上書きするとともに(S206)、これをウェブサーバ11(被験者個人情報管理サーバソフトウェア113)にアップロードする。そして、その後、当該被験者個人情報管理クライアントソフトウェア222による処理が終了すると、RAM27上に残された平文の被験者個人情報データベース212が消去される。
このように、本実施形態によると、試験参加施設2において、被験者個人情報データベース212は、常時暗号化されてファイル化された状態でファイルサーバ21に保管されているので、アクセス権限を有さない(即ち、個人IDが臨床試験センター1のEDCユーザデータベース121に登録されていない)者や、アクセス権限を有していても正当な手順を踏まない者が被験者個人情報データベース212にアクセスしても、その内容を知ることができない。
また、被験者個人情報データベース212を復号化するための施設セッションキーは、暗号化された状態で施設設定ファイル224内に保管されているので、アクセス権限を有さない者や、アクセス権限を有していても正当な手順を踏まない者は、復号化に用いられる平文の施設セッションキーを入手することができないので、被験者個人情報データベース212が不正に復号化されることが防止される。このように暗号化された施設セッションキーは、被験者個人情報データベース212を復号化することができないので、リムーバブルメディアを用いて当該試験参加施設内で配布したり、紛失に備えて当該試験参加施設内にバックアップしておくことが可能となる。
また、暗号化された被験者個人情報ベース212のコピー114は、臨床試験データセンター1(ウェブサーバ11)にアップロードされてバックアップされているので、試験参加施設においてファイルサーバ21上の被験者個人情報データベース212が誤って消去されたり破壊された場合であっても、臨床試験データセンター1(ウェブサーバ11)にバックアップされているコピー114を用いて、正しい被験者個人情報データベース212を復元することができる。このようにして臨床試験データセンター1(ウェブサーバ11)にバックアップされている被験者個人情報ベース212のコピー114は、施設セッションキーを用いて暗号化されているので、かかる施設セッションキーが存在していない臨床試験データセンター1(ウェブサーバ11)側では、たとえ当該試験参加施設の施設マスターキーが入手可能であったとしても、これを復号化してその内容を盗み見ることはできない。ましてや、臨床試験データセンター1(ウェブサーバ11)から違法に当該被験者個人情報ベース212のコピー114を盗んだ者は、従って、その内容を盗み見ることはできない。その結果、本実施形態によると、試験参加施設において取得された被験者の個人情報を強固に保護することが可能になるのである。
1 臨床試験データセンター
2 試験参加施設
11 ウェブサーバ
12 データベースサーバ
21 ファイルサーバ
22 端末
112 被験者個人情報管理クライアントソフトインストールプログラム
113 被験者個人情報管理サーバソフトウェア
121 EDCユーザデータベース
123 試験参加施設マスターキーデータベース
212 被験者個人情報データベース
221 ウェブブラウザーソフトウェア
222 被験者個人情報管理クライアントソフトウェア
224 施設設定ファイル
2 試験参加施設
11 ウェブサーバ
12 データベースサーバ
21 ファイルサーバ
22 端末
112 被験者個人情報管理クライアントソフトインストールプログラム
113 被験者個人情報管理サーバソフトウェア
121 EDCユーザデータベース
123 試験参加施設マスターキーデータベース
212 被験者個人情報データベース
221 ウェブブラウザーソフトウェア
222 被験者個人情報管理クライアントソフトウェア
224 施設設定ファイル
Claims (4)
- 個人情報を個人情報ファイルに格納して保管するための個人情報管理装置であって、
ネットワークを介してサーバ装置と通信可能な通信装置と、
入力装置と、
記憶装置と、
鍵を発行する鍵発行手段と、
前記入力装置を通じて入力される情報に従って、前記個人情報ファイルに格納すべき個人情報の更新を行う個人情報更新手段と、
前記個人情報更新手段による前記個人情報に対する更新を行った後に、前記鍵発行手段によって発行された前記鍵を用いて、前記個人情報を暗号化する暗号化手段と、
当該暗号化手段によって暗号化された前記個人情報を格納した個人情報ファイルを前記通信装置を用いて前記サーバ装置にアップロードするアップロード手段と、
前記入力装置を通じて入力される情報に従って、前記サーバ装置から、前記個人情報ファイルをダウンロードするダウンロード手段と、
前記サーバ装置から所定のマスターキーをダウンロードするマスターキーダウンロード手段と、
前記鍵発行手段によって発行された鍵を前記マスターキーを用いて暗号化する鍵暗号化手段と、
前記鍵暗号化手段によって暗号化された鍵を前記記憶装置に保存する鍵保存手段と、
前記記憶装置に保存されている鍵を取り出し、前記マスターキーを用いて復号化する鍵復号化手段と、
前記鍵復号化手段によって復号化された鍵を用いて、前記ダウンロード手段によってダウンロードされた前記個人情報ファイル中の暗号化された個人情報を復号化する復号化手段と、
前記復号化手段によって復号化された前記個人情報の内容を出力する出力装置と
を備えたことを特徴とする個人情報管理装置。 - 前記鍵暗号化手段は、前記鍵を暗号化した後に前記マスターキーを破棄する
ことを特徴とする請求項1記載の個人情報管理装置。 - ネットワークを介してサーバ装置と通信可能な通信装置,出力装置,入力装置を有する
コンピュータを、
鍵を発行する鍵発行手段,
前記入力装置を通じて入力される情報に従って、個人情報ファイルに格納すべき個人情報の更新を行う個人情報更新手段,
前記個人情報更新手段による前記個人情報に対する更新を行った後に、前記鍵発行手段によって発行された前記鍵を用いて、前記個人情報を暗号化する暗号化手段,
当該暗号化手段によって暗号化された前記個人情報を格納した個人情報ファイルを前記通信装置を用いて前記サーバ装置にアップロードするアップロード手段,
前記入力装置を通じて入力される情報に従って、前記サーバ装置から、前記個人情報ファイルをダウンロードするダウンロード手段,
前記鍵発行手段によって発行された鍵を前記マスターキーを用いて暗号化する鍵暗号化手段,
前記鍵暗号化手段によって暗号化された鍵を前記記憶装置に保存する鍵保存手段,
前記記憶装置に保存されている鍵を取り出し、前記マスターキーを用いて復号化する鍵復号化手段,
前記鍵復号化手段によって復号化された鍵を用いて、前記ダウンロード手段によってダウンロードされた前記個人情報ファイル中の暗号化された個人情報ファイルを復号化する復号化手段,及び
前記復号化手段によって復号化された前記個人情報ファイルの内容を前記出力装置を用いて出力する出力手段
として機能させる個人情報管理プログラム。 - 個人情報を格納した個人情報ファイルを管理するために、ネットワークを介して相互に接続された個人情報管理装置とサーバ装置とからなる個人情報管理システムであって、
前記サーバ装置は、
前記個人情報管理装置からの各要求に応じて、夫々、所定のマスターキーを前記個人情報管理装置に応答し、前記個人情報管理装置によってアップロードされた暗号化済の前記個人情報ファイルをディスク装置に保存し、前記個人情報管理装置によってダウンロード要求された暗号化済の前記個人情報ファイルを前記ディスク装置から読み出して当該個人情報管理装置へ送信し、
前記個人情報管理装置は、
ネットワークを介してサーバ装置と通信可能な通信装置と、
入力装置と、
記憶装置と、
鍵を発行する鍵発行手段と、
前記サーバ装置から前記マスターキーをダウンロードするマスターキーダウンロード手段と、
前記入力装置を通じて入力される情報に従って、前記個人情報ファイルに格納すべき個
人情報の更新を行う個人情報更新手段と、
前記個人情報更新手段による前記個人情報に対する更新を行った後に、前記鍵を用いて、 前記個人情報を暗号化する個人情報暗号化手段と、
当該個人情報暗号化手段によって暗号化された前記個人情報を格納した個人情報ファイルを前記通信装置を用いて前記サーバ装置にアップロードするアップロード手段と、
前記マスターキーダウンロード手段によって前記サーバ装置からダウンロードしたマスターキーを用いて、前記鍵を暗号化する鍵暗号化手段と、
前記鍵暗号化手段によって暗号化された鍵を前記記憶装置に保存する鍵保存手段と、
前記入力装置を通じて入力される情報に従って、前記サーバ装置から、前記個人情報ファイルをダウンロードするダウンロード手段と、
前記記憶装置に保存されている鍵を取り出して、マスターキーを用いて復号化する鍵復号化手段と、
前記鍵復号化手段によって復号化された鍵を用いて、前記ダウンロード手段によってダウンロードされた前記個人情報ファイル中の暗号化された個人情報を復号化する個人情報復号化手段と、
前記個人情報復号化手段によって復号化された前記個人情報の内容を出力する出力装置と
を備えていることを特徴とする個人情報管理システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008056518A JP4896054B2 (ja) | 2008-03-06 | 2008-03-06 | 個人情報管理装置,個人情報管理プログラムおよび個人情報管理システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008056518A JP4896054B2 (ja) | 2008-03-06 | 2008-03-06 | 個人情報管理装置,個人情報管理プログラムおよび個人情報管理システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009213064A JP2009213064A (ja) | 2009-09-17 |
| JP4896054B2 true JP4896054B2 (ja) | 2012-03-14 |
Family
ID=41185739
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008056518A Expired - Fee Related JP4896054B2 (ja) | 2008-03-06 | 2008-03-06 | 個人情報管理装置,個人情報管理プログラムおよび個人情報管理システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4896054B2 (ja) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10084818B1 (en) | 2012-06-07 | 2018-09-25 | Amazon Technologies, Inc. | Flexibly configurable data modification services |
| US9286491B2 (en) | 2012-06-07 | 2016-03-15 | Amazon Technologies, Inc. | Virtual service provider zones |
| US9590959B2 (en) | 2013-02-12 | 2017-03-07 | Amazon Technologies, Inc. | Data security service |
| US10075471B2 (en) | 2012-06-07 | 2018-09-11 | Amazon Technologies, Inc. | Data loss prevention techniques |
| US9547771B2 (en) | 2013-02-12 | 2017-01-17 | Amazon Technologies, Inc. | Policy enforcement with associated data |
| US9300464B1 (en) | 2013-02-12 | 2016-03-29 | Amazon Technologies, Inc. | Probabilistic key rotation |
| US10210341B2 (en) | 2013-02-12 | 2019-02-19 | Amazon Technologies, Inc. | Delayed data access |
| US20140229732A1 (en) * | 2013-02-12 | 2014-08-14 | Amazon Technologies, Inc. | Data security service |
| US9367697B1 (en) | 2013-02-12 | 2016-06-14 | Amazon Technologies, Inc. | Data security with a security module |
| US10467422B1 (en) | 2013-02-12 | 2019-11-05 | Amazon Technologies, Inc. | Automatic key rotation |
| US9608813B1 (en) | 2013-06-13 | 2017-03-28 | Amazon Technologies, Inc. | Key rotation techniques |
| US9705674B2 (en) | 2013-02-12 | 2017-07-11 | Amazon Technologies, Inc. | Federated key management |
| US10211977B1 (en) | 2013-02-12 | 2019-02-19 | Amazon Technologies, Inc. | Secure management of information using a security module |
| US9397835B1 (en) | 2014-05-21 | 2016-07-19 | Amazon Technologies, Inc. | Web of trust management in a distributed system |
| US9438421B1 (en) | 2014-06-27 | 2016-09-06 | Amazon Technologies, Inc. | Supporting a fixed transaction rate with a variably-backed logical cryptographic key |
| US9866392B1 (en) | 2014-09-15 | 2018-01-09 | Amazon Technologies, Inc. | Distributed system web of trust provisioning |
| JP6805584B2 (ja) * | 2015-07-10 | 2020-12-23 | 富士通株式会社 | 関係暗号化 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06175905A (ja) * | 1992-12-03 | 1994-06-24 | Fujitsu Ltd | 暗号化ファイル共有方法 |
| TW396308B (en) * | 1997-04-01 | 2000-07-01 | Tumbleweed Software Corp | Document delivery system |
| JP2003005645A (ja) * | 2001-06-19 | 2003-01-08 | Toshitada Kameda | 暗号方法、暗号システム、暗号化装置、復号化装置及びコンピュータプログラム |
| JP4227358B2 (ja) * | 2002-05-08 | 2009-02-18 | 富士通株式会社 | 無線通信用暗号鍵配送システム、無線通信用暗号鍵配送方法、および無線通信用暗号鍵配送システムのユーザ端末用プログラム |
| JP2006065717A (ja) * | 2004-08-30 | 2006-03-09 | Sony Corp | 情報処理システム、情報処理装置および方法、記録媒体、並びにプログラム |
| JP2006121440A (ja) * | 2004-10-21 | 2006-05-11 | Ttt Kk | 医療システム、医療データ管理方法、及び医療データ管理用通信プログラム |
| JP2007067630A (ja) * | 2005-08-30 | 2007-03-15 | Ancl Inc | ネットワークを使用するデータ伝送システム及びその方法 |
| JP2007080041A (ja) * | 2005-09-15 | 2007-03-29 | Hitachi Medical Corp | 電子カルテシステム |
-
2008
- 2008-03-06 JP JP2008056518A patent/JP4896054B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2009213064A (ja) | 2009-09-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4896054B2 (ja) | 個人情報管理装置,個人情報管理プログラムおよび個人情報管理システム | |
| US11887705B2 (en) | Apparatus, system and method for patient-authorized secure and time-limited access to patient medical records utilizing key encryption | |
| US11531781B2 (en) | Encryption scheme for making secure patient data available to authorized parties | |
| CN101401104B (zh) | 用于从服务器取回医疗数据的数字权利管理 | |
| EP2731042B1 (en) | Computer system for storing and retrieval of encrypted data items using a tablet computer and computer-implemented method | |
| US10841286B1 (en) | Apparatus, system and method for secure universal exchange of patient medical records utilizing key encryption technology | |
| CN109934012A (zh) | 基于区块链网络的医疗记录安全存储访问方法 | |
| JP4904109B2 (ja) | 読影データ管理装置及び読影データ管理方法 | |
| CN105339949A (zh) | 用于管理对医学数据的访问的*** | |
| US20140156988A1 (en) | Medical emergency-response data management mechanism on wide-area distributed medical information network | |
| CN103154965B (zh) | 安全地管理对文件***的用户访问的方法、设备和*** | |
| WO2002006948A1 (en) | Method for protecting the privacy, security, and integrity of sensitive data | |
| WO2018225746A1 (ja) | システムへのログイン方法 | |
| US10754979B2 (en) | Information management terminal device | |
| JP2005242740A (ja) | 情報セキュリティシステムのプログラム、記憶媒体、及び情報処理装置 | |
| CN103971063A (zh) | 用于安全性至关重要的医学图像内容的传输措施 | |
| JP2003131929A (ja) | 情報端末および情報ネットワークシステム、ならびにそれらのためのプログラム | |
| JP7279760B2 (ja) | 情報処理システム、情報処理装置及びプログラム | |
| JP2018156633A (ja) | 情報管理端末装置 | |
| WO2014201599A1 (zh) | 一种用于信息的认证授权和安全使用的方法与*** | |
| JP2000331101A (ja) | 医療関連情報管理システム及びその方法 | |
| JP4521514B2 (ja) | 医療情報流通システム及びその情報アクセス制御方法、コンピュータプログラム | |
| KR100945819B1 (ko) | 휴대 단말기를 이용한 개인건강기록 서비스 방법 및 그에따른 시스템 | |
| JP2008134871A (ja) | 医療情報提供システム及び提供サーバ | |
| JP7368184B2 (ja) | リスク管理支援装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20101104 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110906 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111107 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111206 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111220 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4896054 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150106 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |